Na, auch schon mal auf Webseiten kommentiert, die das Kommentarsystem von Disqus einsetzen und vielleicht bei „Have i been pwned“ eine E-Mail-Benachrichtigung aktiviert, wenn ein neuer Daten-Missbrauch stattgefunden hat? Dann solltet ihr auch E-Mail bekommen haben, denn Disqus hat einen Zugriff auf die Nutzerdaten durch Dritte einräumen müssen. Laut Disqus habe man den Zugriff am 5. Oktober bemerkt, betroffen war hier eine von 2007 bis 2012 genutzte Datenbank, die E-Mail-Adressen, Disqus-Benutzernamen, Anmeldedaten und Datum der letzten Anmeldung im Klartext für rund 17,5 Millionen Benutzer enthielt.
Für ein Drittel der Nutzer wurden auch die Passwörter verwendet, diese waren aber nicht im Klartext vorliegend, sondern gehashed und salted mit SHA1. Für betroffene Nutzer hat man die Passwörter zurückgesetzt und diese über den Sicherheitsvorfall in Kenntnis gesetzt. Mittlerweile setzt Disqus für den Passwort-Algorithmus nicht mehr auf SHA1, sondern auf bcrypt. Trotz der Entwendung verschlüsselter Passwörter empfiehlt man, etwaige identische Passwörter bei anderen Diensten zu ändern, sofern dort die gleiche Kombination genutzt wird.